Let’s EncriptのSSL証明書を更新する方法

以前、以下の記事でEC2で作成したWordPress(WordPress Certified by Bitnami)について、
Let’s Encriptを使ってSSL化する方法をご紹介しました。
EC2で作成したWordPressをLet’s EncritpでHTTPS化してみる

基本的にSSLサーバー証明書には有効期限があり、
もちろんLet’s Encriptでもサーバー証明書に期限が定められています。

サーバー証明書の有効期限が過ぎると、
HTTPS通信が行えなくなりますので、期限前にサーバー証明書を更新する必要があります。

Let’s Encriptのサーバー証明書の有効期間は90日間。
他のサーバー証明書ですと、1年間以上あるものも多数ありますので90日は結構短い印象です。

今回は、Let’s Encriptのサーバー証明書の更新方法についてご紹介したいと思います。

期限前に登録メールアドレス宛に更新通知が届く
サーバー証明書の更新方法
サーバー証明書期限の確認方法

期限前に登録メールアドレス宛に更新通知が届く

Let’s Encriptのサーバー証明書の有効期間は90日です。

有効期限が近くなってもサーバー証明書が更新されない場合、
以下のようなメールが”Let’s Encrypt Expiry Bot <expiry@letsencrypt.org>”より届きます。
※私の場合、残り20日というタイミングで届きました。

件名：Let’s Encrypt certificate expiration notice for domain “ドメイン名”

Hello,

Your certificate (or certificates) for the names listed below will expire in 19 days (on 21 Jan 19 22:29 +0000). Please make sure to renew your certificate before then, or visitors to your website will encounter errors.

We recommend renewing certificates automatically when they have a third of their
total lifetime left. For Let’s Encrypt’s current 90-day certificates, that means
renewing 30 days before expiration. See

Integration Guide - Let's Encrypt - Free SSL/TLS Certificates
Last updated: Aug 8, 2016 | See all Documentation This document contains helpful advice if you are a hosting provider or large website integrating Let’s E...
letsencrypt.org
for details.

ドメイン名

For any questions or support, please visit https://community.letsencrypt.org/. Unfortunately, we can’t provide support by email.

If you are receiving this email in error, unsubscribe at ・・・

Regards,
The Let’s Encrypt Team

メールを受け取ったら、忘れないように速やかに更新作業を行いましょうね！

サーバー証明書の更新方法

それではLet’s Encriptのサーバー証明書の具体的な更新方法についてご紹介します。

更新作業はサーバーにログインして行うこととなります。

今回ご紹介する方法は、以下の環境をもとにご説明します。

＜実行環境＞
EC2インスタンス
利用AMI：WordPress Certified by Bitnami（バージョン：4.9.8-0）
OS：Ubuntu 16.04.5

(1)サーバーへログインします

(2)次のコマンドでApacheを停止します
※Apacheを停止しないとうまくいきません。

sudo /opt/bitnami/ctlscript.sh stop apache

1	sudo /opt/bitnami/ctlscript.sh stop apache

(3)次のコマンドで更新のテストをします
※–dry-runというオプションはテスト実行するオプションです。実際には更新されません。

./letsencrypt/certbot-auto renew --force-renew --dry-run

1	./letsencrypt/certbot-auto renew --force-renew --dry-run

(4)エラーがなければ、次のコマンドでサーバー証明書の更新を行います

./letsencrypt/certbot-auto renew --force-renew

1	./letsencrypt/certbot-auto renew --force-renew

以下の表示が出力されたら更新完了です。

・・・(省略)
Congratulations, all renewals succeeded.
・・・(省略)

(5)忘れずに次のコマンドでApacheを再開します

sudo /opt/bitnami/ctlscript.sh start apache

1	sudo /opt/bitnami/ctlscript.sh start apache

以上でサーバー証明書の更新作業は完了です！

サーバー証明書期限の確認方法

さぁ、サーバー証明書の更新作業が完了しました。

本当に証明書の更新はなされているか、確認したいところですよね？

以下、サーバー証明書期限の簡単な確認方法となります。

(1)更新したサーバー証明書が適用されているドメインへブラウザからアクセスする

(2)URLの横にある鍵マークをクリックする

(3)[証明書]をクリックすると以下のように”有効期限”が表示できます。

※更新完了時から90日後となっていると思います。

簡単な作業ではありますが、
この更新作業を忘れるとhttps通信が行えなくなるという厳しい状況となるため、
絶対忘れずに行いましょう。

後日、自動更新方法もご紹介したいと思います！

以上、hidesanでした！